Ermitteln der IP einer MAC-Adresse

9

Gibt es eine Möglichkeit, die IP eines Geräts von seiner MAC-Adresse auf einem Cisco-Gerät abzuleiten?

Angenommen, Sie befinden sich nicht in einem lokalen Segment, in dem Ping-Sweeping / Arp möglich ist. Stattdessen sind Sie remote und es befinden sich viele Router zwischen Ihnen und dem Endpunkt.

Darüber hinaus enthält die Arp-Tabelle auf dem betreffenden Cisco-Gerät diese MAC-Adresse noch nicht.

ipv4 AL
quelle

Antworten:

7

Es gibt mehrere Möglichkeiten.

Wenn Sie DHCP-Snooping durchführen, sollten Sie die IP-Adresse in der Bindungsdatenbank mit dem folgenden Befehl finden können:

show ip dhcp snooping binding 00:00:00:00:00:00

Wenn Sie kein DHCP-Snooping haben, befindet sich das Cisco-Gerät im selben Subnetz (oder unterstützt mehrere SVIs, sodass Sie eine Schnittstelle im Subnetz hinzufügen können). Sie befinden sich auf einem neueren IOS (12.2ish oder besser) mit Zugriff auf TCL. Wenn das Gerät auf einen Ping reagiert, können Sie ein TCL-Skript verwenden. Im Internet finden Sie viele Beispiele, von denen eines hier zu finden ist . Sobald es in der Lage ist, das Gerät (im selben Subnetz) zu pingen, sollte es sich in der ARP-Tabelle des Cisco-Geräts befinden.

Im Allgemeinen ist es schneller / einfacher, auf dem L3-Gerät nach dem ARP-Eintrag oder dem DHCP-Server zu suchen, als nach der zweiten Option.

Alte Antwort (vor dem Ändern der Frage): Wenn Sie Ihre Frage genau beantworten, gibt es keine Möglichkeit, eine IP-Adresse eines Geräts aus dem Eintrag in der MAC-Adresstabelle abzuleiten.

Die MAC-Adresstabelle ist streng genommen ein L2-Satz von Informationen, die Geräte an eine Schnittstelle binden. Bei L2 ist eine IP-Adresse nicht bekannt (da die Informationen zu L3 und höher für L2 irrelevant sind und genauso gut ein anderes Protokoll sein könnten).

Sie benötigen Zugriff auf das L3-Gerät für das Remote-Netzwerksegment, in dem Sie den Eintrag in der ARP-Tabelle nachschlagen können.

YLearn
quelle
Vielleicht etwas zu wörtlich genommen :), ich habe es bearbeitet, um den wahren Punkt der Frage widerzuspiegeln: Können wir die IP einer MAC-Adresse aus der Ferne finden?
AL
user1353: Nein, MAC-Adressen werden nur in der Layer-2-Domäne (LAN) verwendet und sind außerhalb davon unsichtbar.
Sander Steffann
Hey YLearn, danke, dass du deine Antwort nach meiner Bearbeitung geklärt hast! Sehr gründliche Antwort und sehr geschätzt!
AL
3

TL; DR - Sie müssen den MAC in der ARP-Tabelle einer anderen Person finden - z. der Gateway-Router.

Wie YLearn ursprünglich sagte, suchen Sie nach einer L3-Adresse, für die nur eine L2-Adresse angegeben ist. Sie müssen etwas in einer geeigneten L3-Domain finden, um es zu finden. Wenn der Switch keine L3-Schnittstelle im selben Netzwerk hat, zeigt die Arp-Tabelle nichts an. Wenn das Gerät kein DHCP verwendet (und / oder DHCP-Snooping nicht auf dem Switch ausgeführt wird), wird es nicht in der Snooping-Tabelle angezeigt. Ich würde annehmen, dass es irgendwo einen Router gibt, der das Gateway für das Zielgerät ist. Die Arp-Tabelle sollte den IP-Mac-Link anzeigen.

Im schlimmsten Fall würde der Mac das Gerät an den Port anschließen. Sie müssen den Datenverkehr an diesem Port überwachen, um IP-Adressen zu finden.

Ricky Beam
quelle
Ja - Wenn Sie den Port überspannen und Wireshark oder TCPDump ausführen, wird normalerweise die IP-Adresse des an diesen Port angeschlossenen Geräts angezeigt. Wenn das Gerät eingeschaltet oder angeschlossen ist, startet es normalerweise ARPing und gibt schließlich das Geheimnis
preis
Das Problem beim Überspannen des Ports besteht darin, dass OP über einen Remote-Standort spricht und dies vom Cisco-Gerät aus tun möchte. Wohin soll der Port also überspannt werden? Wenn das OP eine andere Station hat, kann dies so einfach sein wie ein Ping-Sweep, und das sollte den MAC in ARP aufdrehen.
YLearn
Sie können Pakete ohne Verwendung eines SPAN sichern. ( debug ip packetaber SORGFÄLTIG VERWENDEN!) Unterm Strich muss es irgendwo einen Router für diese L3-Domain geben, vorausgesetzt, er spricht mit irgendetwas anderem.
Ricky Beam